基于SNORT的串行混合式入侵检测系统研究

摘要

近些年网络发展迅速,传统的计算机安全理论无法适应日趋复杂、变化的网络环境,传统的网络安全技术基本上都立足于防,但是防护技术只能最大量阻止入侵行为的发生或延缓此过程,却不能完全阻止各种入侵行为的发生。随着入侵检测技术的研究,针对入侵行为的阻止与对未知行为的预判,很好的解决了传统计算机安全技术的不足。
　　 本文从入侵检测常用技术开始分析,比较各种检测分类方法的优缺点。针对采用异常模式检测系统Payload AD误报率较高,检测入侵行为解释性差及采用误用模式的Snort入侵检测系统漏报率高,对未知入侵行为不可检测等缺点,提出一种串行混合式入侵检测系统。结合两种单一模式系统优点,减少数据包误报漏报问题,对已知入侵行为解释性强,对未知入侵行为有很好的预判。实验证明串行混合式入侵检测系统误报率相对异常检测系统较低,漏报率相对Snort系统较低。
　　 针对串行混合式入侵检测系统检测模块中的模式匹配算法AC算法不能有效跳跃不必要转移状态,匹配速率较慢的问题,提出一种改进的BACK-FORWARD-AC(简称BF-AC)算法。BF-AC算法最大程度向后跳跃及向前跳跃某已知输入字符状态失效下一状态,有效减少状态迁移次数,从而进一步提高串行混合式入侵检测系统检测速率。实验表明,本文所提出的改进AC算法,能有效减少状态转移次数,提高了规则匹配检测速率,进一步提高了混合式入侵检测系统的整体性能。

目录

文摘

英文文摘

第一章 绪论

1.1 研究的背景和意义

1.2 国内外研究现状

1.3 本文所做的主要工作

1.4 本文的内容组织

第二章 入侵检测系统分析与研究

2.1 入侵检测系统定义

2.2 入侵检测系统的组成及部署

2.2.1 入侵检测系统的组成

2.2.2 入侵检测系统的部署

2.3 常用入侵检测系统的分类方法

2.3.1 根据检测方法分类

2.3.2 根据数据来源分类

2.3.3 根据体系结构分类

2.4 入侵检测系统算法分类

2.5 本章小结

第三章 串行混合式入侵检测系统研究与设计

3.1 Snort系统分析

3.1.1 Snort系统组成

3.1.2 Snort初始化模块

3.1.3 Snort数据包解码模块

3.1.4 Snort数据包预处理模块

3.1.5 Snort系统数据包处理模块

3.1.6 Snort系统优缺点

3.2 异常检测系统Payload AD分析

3.2.1 异常检测系统概述

3.2.2 Payload AD入侵检测算法及步骤

3.2.3 Payload AD检测系统优缺点

3.3 基于Snort的串行混合式入侵检测系统设计

3.3.1 基本设计思想

3.3.2 核心模块设计

3.3.3 系统分析

3.3.4 仿真实验及结果分析

3.4 本章小结

第四章 串行混合式系统的检测模块算法研究及改进

4.1 模式匹配算法研究意义

4.2 模式匹配的定义

4.3 模式匹配算法分析

4.3.1 KMP算法

4.3.2 BM算法

4.3.3 AC算法

4.3.4 AC算法不足

4.4 BACK-FORWARD-AC算法设计

4.4.1 BACK-FORWARD-AC设计思想

4.4.2 BF-AC算法

4.5 仿真实验及结果分析

4.6 本章小结

第五章 结论与展望

5.1 结论

5.2 展望

参考文献

致谢

附录(攻读硕士学位期间发表录用论文)